Perchè è importante saper redigere la Cookie Policy e adeguarla al GDPR
Perché è necessario adeguare la Cookie Policy al GDPR?
Spieghiamo anzitutto cosa sono i cookie: piccoli file di testo contenenti informazioni che compaiono sul browser dell’utente quando visita un sito web o utilizza un social network, da qualunque dispositivo navighi
(pc, tablet, smartphone ecc..).
Esistono diverse tipologie di cookie: cookie tecnici, cookie analytics e di profilazione.
Cookie tecnici
Permettono di monitorare le sessioni di navigazione, oppure di memorizzare informazioni specifiche di utenti che accedono a una pagina web oppure di eseguire autenticazioni informatiche o memorizzare sessioni. Questa tipologia di cookie sono spesso utili perché consentono di velocizzare la navigazione e renderla più fruibile.
Cookie analytics
Questa tipologia di cookie è utilizzata dai gestori di siti web per raccogliere informazioni, in forma aggregata, sugli utenti e sulle modalità di utilizzazione del sito da parte degli stessi, al fine di elaborare statistiche sul servizio reso.
Cookie di profilazione
I cookie di profilazione possono essere utilizzati per monitorare i comportamenti e le abitudini degli utenti al fine di inviare loro pubblicità su servizi e prodotti mirati.
Cookie di terze parti
Quando navighiamo e siamo di fronte a una pagina web, può accadere che ci compaiano cookie di altri siti o contenuti in altri elementi della pagina stessa, come ad esempio, banner pubblicitari, video… Si tratta di cookie di terze parti, che di solito sono utilizzati per fini di profilazione degli utenti.
La gestione dei cookie deve essere compatibile con quanto disposto dal GDPR (Reg. Ue n.679/2016), soprattutto in merito al consenso e alle sue modalità. Per verificarne la compatibilità e comprenderne la gestione occorre analizzare sinteticamente le fonti legislative.
La Direttiva CE 2002/58 stabilisce che, “Gli Stati membri assicurano che l´uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell´apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l´abbonato o l´utente interessato sia stato informato in modo chiaro e completo, tra l´altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l´eventuale memorizzazione tecnica o l´accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell´informazione esplicitamente richiesto dall´abbonato o dall´utente”.
Le prescrizioni poste dalla Direttiva si possono così sintetizzare:
- Preventiva informazione chiara e completa
- Preliminare espressione del consenso
- I requisiti del consenso sono quelli espressi dalla disciplina della protezione dei dati
- Le autorità nazionali possono rendere efficace l’esecuzione dei requisiti di informazione e di consenso
L’art. 122, comma 1, Nuovo Codice Privacy – D.lgs 196/2003 aggiornato al D.lgs 101/2018 stabilisce che, “L’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni gia’ archiviate sono consentiti unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Cio’ non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni gia’ archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della societa’ dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio”. Il comma 2 chiarisce ancora che “Ai fini dell’espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilita’ per il contraente o l’utente”.
Concludendo, possiamo affermare che le prescrizioni del Codice Privacy, speciali rispetto a quelle della Direttiva CE 2002/58, sono:
- Modalità semplificate per la messa a disposizione delle informazioni;
- Modalità di espressione del consenso di facile e chiara utilizzabilità.
L’art.95 del GDPR (Reg.UE n.679/2016) intitolato “Rapporto con la direttiva 2002/58/CE” dispone che,
“Il presente regolamento non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE”.
Il Provvedimento del Garante n.229 del giorno 8 maggio 2014 ha chiarito che, previa indicazione di alcuni elementi informativi nel banner relativo ai cookie, una modalità di espressione del consenso è rappresentata dalla prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso (ad es. di una immagine o di un link).
I necessari elementi informativi devono indicare:
- Che il sito utilizza cookie di profilazione al fine di inviare messaggi pubblicitari
- Che il sito consente l’invio di cookie di terze parti
- Il link all’informativa estesa
- L’indicazione che alla pagina dell’informativa estesa è possibile negare il consenso all’installazione di qualsiasi cookie
- L’indicazione che la prosecuzione della navigazione mediante accesso ad altra area del sito o selezione di un elemento dello stesso comporta la prestazione del consenso all’uso dei cookie.
Concludendo, per redigere una Cookie Policy compliance al GDPR, occorre che questa specifichi la tipologia di cookie, i destinatari degli stessi, le modalità di accettazione, rifiuto, revoca ed eliminazione dei cookie e le informazioni sulla effettuazione di trattamenti di profilazione.
Studio Legale Pino
Data Protection Officer
Avv. Iolanda Patrizia Pino
Articolo del: